PCI DSSとは？準拠要件・レベル・日本語版など総解説

PCI DSSの準拠事項と各レベルの詳細

加盟店のレベル

レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店	当該ブランドの年間取引総件数の合計が600万件を超えるすべての加盟店 過去にカード情報の漏えい事件を起こした加盟店 MasterCardがレベル1と判断した加盟店 Visaがレベル1と判断した加盟店	当該ブランドの年間の取引件数が100万件以上 International取引を処理する加盟店、または過去にカード情報の漏えい事件を起こした加盟店	当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店	当該ブランドの年間取引件数が600万件以上 他のペイメントブランドがレベル1と判断した加盟店
2	当該ブランドの年間の取引件数が100万〜600万件	当該ブランドの年間の取引件数が100万〜600万件 Visaがレベル2と判断した加盟店	当該ブランドの年間の取引件数が100万件未満	当該ブランドの年間の取引件数が5万～250万件以上またはAmericanExpressがレベル2と判断した加盟店	当該ブランドの取引が100万件以上、600万件未満の加盟店
3	当該ブランドの年間の電子商取引における取引件数が2万～100万件	当該ブランドの電子商取引の件数が2万〜100万件取り扱う加盟店 Visaがレベル3と判断した加盟店	該当なし	当該ブランドの年間の取引件数が5万件未満	当該ブランドの年間の電子商取引における取引件数が2万～100万
4	当該ブランドの年間の電子商取引における取引件数が2万件未満 当該ブランドの年間の取引件数が100万件未満	レベル1~3以外のすべての加盟店	該当なし	該当なし	レベル1~3以外のすべての加盟店

加盟店の検証要件

レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン 準拠報告のドキュメントフォーム	QSAによる年1回のオンサイト監査[社内監査役（または他の指定された独立スタッフ）により年1回のオンサイト監査の実施を選択しているレベル1加盟店は、社内監査役の利用を継続するためには、PCI DSS準拠の検証に従事している主要な社内スタッフが、毎年PCI SSC社内セキュリティ監査員（ISA）適格性プログラムを完了することを確保すること ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店が認証している場合は加盟店が実施した年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン
2	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン 準拠報告のドキュメントフォーム	加盟店の裁量による年1回のオンサイト監査 年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	加盟店が実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店の責任者が認証した年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
3	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	該当なし	年1回の自己問診（強く推奨） ASVによる四半期ごとのネットワークスキャン（強く推奨）	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
4	年1回の自己問診（推奨） ASVによる四半期ごとのネットワークスキャン（推奨） アクワイアラが定める準拠要件	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン	該当なし	該当なし	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン

※引用サイト：「国際マネジメントシステム認証機構」

サービスプロバイダのレベル

レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	Visa Netに接続するプロセッサ、または取引の伝送／処理／保存の件数が年間30万件以上あるサービスプロバイダ	すべてのTPP 年間30万件超の取引を伝送／処理／保存するDSE 過去にカード情報の漏えい事件を起こしたことがあるすべてのTPP及びDSE	すべてのTPP	当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ	年間30万件超のカード取引を伝送、処理、保存するTPP Discoverが独自に定めたTPP
2	取引の伝送／処理／保存の件数が年間30万件未満のサービスプロバイダ	年間30万件以下の取引を伝送／処理／保存するDSE	すべてのTPP	当該ブランドの取引件数が年間250万件未満、またはAmericanExpressがレベル1でないとみなすサービスプロバイダー	年間30万件未満のカード取引を伝送、処理、保存するTPP
3	該当なし	該当なし	該当なし	該当なし	該当なし

※引用サイト：「国際マネジメントシステム認証機構」

サービスプロバイダの検証要件

レベル	Visa Inc.（AIS）	MasterCard（SDP）	JCB（JCBデータセキュリティプログラム）	American Express（DSOP）	Discover
1	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン 準拠証明書（AOC）	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ	年間30万件超のカード取引を伝送、処理、保存するTPP Discoverが独自に定めたTPP
2	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン Visa Incのサービスプロバイダリストには掲載されない（レベル1として検証すれば掲載）	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン すべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり	QSAによる年1回のオンサイト監査 ASVによる四半期ごとのネットワークスキャン	年次の自己問診 四半期毎のネットワークスキャン	年1回の自己問診 ASVによる四半期ごとのネットワークスキャン
3	該当なし	該当なし	該当なし

※引用サイト：「国際マネジメントシステム認証機構」

PCI DSSを取得している日本企業

PCI DSSを取得している日本企業を一部、以下の表の通りに記載します。一部とした理由については、PCI DSSを取得している企業についてはセキュリティの高さを証明する一方で、すべての企業を明記してしまうと記載されていない企業のセキュリティリスクが高くなってしまう恐れがあります。
リスク回避のため、本記事で紹介する企業については、10社とさせていただきます。

PCI DSS取得企業

三井住友カード株式会社	大日本印刷株式会社
NECビッグローブ株式会社	株式会社日立情報システムズ
ニフティ株式会社	GMOペイメントゲートウェイ株式会社
楽天グループ株式会社	ヤフー株式会社
富士通株式会社	ビリングシステム株式会社

まとめ

v4.0が発表され、高いセキュリティ基準に準拠するためには、システムの改修などが必要になってきます。経済はグローバル化の一途を進んでおり、より強固なセキュリティ環境を整えることが求められています。
自社の予算や規模感などを確認し、適切な方法でPCI DSSについての理解と対応していくことが必要です。